Wichtige Neuerungen zum Thema Datenschutz und Digitales 2022

Der Anfang der Zwanzigerjahre scheint wie im Flug zu vergehen, schon steht das Jahr 2022 in den Startlöchern – und mit ihm auch einige Neuerungen rund um die für Unternehmen verstärkt an Bedeutung gewinnenden Themen Datenschutz und Digitales. Die wichtigsten Punkte ihrer potenziellen Auswirkungen haben wir in diesem Beitrag in gebotener Kürze für Sie zusammengefasst.

Umsetzung der neuen Standardvertragsklauseln

Während innerhalb des Europäischen Wirtschaftsraums Daten frei transferiert werden können, muss in Ländern außerhalb, sogenannten „Drittländern“, ein der Datenschutz-Grundverordnung („DSGVO“) angemessenes Datenschutzniveau auf andere Weise sichergestellt werden. Typischerweise geschieht dies in der Praxis durch den Abschluss sogenannter Standardvertragsklauseln (auch „Standard Contractual Clauses“, kurz „SCC“) gemäß Art. 46 Abs. 2 lit. c DSGVO, die von der Europäischen Kommission in Form von Vertragsmustern bereitgestellt werden. Mit Durchführungsbeschluss 2021/914 vom 4. Juni 2021 hat die Kommission nun neue Vertragsmuster veröffentlicht.

Auf viele Unternehmen mit regem Drittlandtransfer dürfte hier ein erheblicher Mehraufwand zukommen. Nicht nur sind die neuen Templates für Neuverträge zu verwenden, auch müssen bis spätestens 27. Dezember 2022 sämtliche Altverträge auf die neuen SCC umgestellt werden. Das bedeutet, dass alle auf den alten Vertragsmustern beruhenden SCC ihre Gültigkeit verlieren und stattdessen jeweils neue Verträge abgeschlossen werden müssen. Angesichts der drohenden hohen Bußgelder ist es ist stark anzuraten, diesen Aufwand auch zu betreiben.

Datentransfer in die USA wird kritischer

Auch bei dem Datentransfer in die Vereinigten Staaten von Amerika („USA“) ist zunächst einmal diese Neuerung zu beachten, hier besteht allerdings zusätzlicher Handlungsbedarf. Denn der europäische Gerichtshof hat in seinem bemerkenswerten Urteil vom 16. Juli 2020 (Rechtssache C-311/18, „Schrems II“) entschieden, dass der Abschluss von SCC allein noch nicht ausreicht, um ein angemessenes Datenschutzniveau in den USA sicherzustellen. Vielmehr müssen hierfür weitere Zusatzmaßnahmen ergriffen werden, insbesondere die Durchführung eines sogenannten „Transfer Impact Assessments“. Durch den kürzlich ergangenen, aufsehenerregenden Beschluss des VG Wiesbaden vom 1. Dezember 2021 (Az. 6 L 738/21), in welchem das Gericht per Eilverfahren den Einsatz eines Cookie Banners aufgrund von US-Bezug verbot, hat das Thema Datentransfer in die USA noch einmal an Brisanz gewonnen.

Was bedeutet dies nun für Unternehmen? Bislang sind die großen US-amerikanischen Tech-Giganten im Alltag der meisten Unternehmen nicht wegzudenken. Auch wenn sich immer mehr kleinere europäische Anbieter am Markt platzieren, wird für viele auch im Jahr 2022 an Amazon und Co. noch kein Weg vorbeiführen. Es sollte jedoch beim Einsatz von US-Dienstleistern verstärkt geprüft werden, ob die Zusammenarbeit mit diesen tatsächlich zwingend erforderlich ist oder es möglicherweise doch europäische Alternativen gibt. Wenn dies nicht der Fall sein sollte, ist darauf zu achten, dass die Voraussetzungen eines zulässigen Drittlandtransfers auch erfüllt und dokumentiert sind. Allzu viele Unternehmen haben sich, möglicherweise auch aufgrund einer durch die Aufsichtsbehörden eingeräumten „Schonfrist“, bislang noch nicht intensiv genug um das Thema gekümmert – das dürfte nicht mehr lange möglich sein.

Das „Telekommunikation-Telemedien-Datenschutz-Gesetz“

Am 1. Dezember 2021 trat das „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (auch „Telekommunikations-Telemedien-Datenschutzgesetz“, kurz „TTDSG“) in Kraft, in welchem im Wesentlichen die Datenschutzvorschriften aus den nun alten Fassungen des Telekommunikationsgesetzes („TKG“) und Telemediengesetzes („TMG“) zusammengefasst wurden. Die Länge seines Namens ist durchaus passend zur Entstehungsgeschichte des Gesetzes: So soll es nach immerhin fast 10 Jahren die ePrivacy-Richtlinie 2002/58/EG aus dem Jahr 2002 in nationales Recht umsetzen.

Das Gesetz richtet sich an Telekommunikationsdiensteanbieter und Anbieter einer Website oder App – was in der heutigen Zeit nahezu jedes Unternehmen erfassen dürfte. Für Unternehmen, die keine Telekommunikationsdiensteanbieter sind, sind die Auswirkungen des TTDSG jedoch überschaubar. Am relevantesten ist sicher § 25 TTDSG, wonach für den Einsatz von Cookies grundsätzlich eine Einwilligung des Endnutzers gemäß der DSGVO erforderlich ist, sofern es sich nicht um sogenannte „unbedingt erforderliche“ Cookies oder die Bereitstellung eines vom Nutzer ausdrücklich gewünschten Telemediendienstes handelt. Da dies jedoch ohnehin der höchstrichterlichen Rechtsprechung und den Empfehlungen der Datenschutzbehörden entsprach, war die Herangehensweise bereits vor dem Inkrafttreten des TTDSG anzuraten, auch wenn das nicht immer von allen Unternehmen konsequent umgesetzt wurde. Das sollte spätestens jetzt nachgeholt werden. Wann es sich genau um unbedingt erforderliche Cookies handelt, bleibt leider auch nach Inkrafttreten des TTDSG unklar. Hier lohnt es sich, auf die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. Dezember 2021 zu achten und Stellungnahmen der Behörden im Blick zu behalten, wie sie unter anderem aus Bayern, Hamburg, Niedersachsen, Nordrhein-Westfalen bereits vorliegen.

Digitale Schuldrechtsreform 2022

Nicht unmittelbar das Thema Datenschutz, aber von solch weitreichender Bedeutung, dass es in diesem Jahresausblick natürlich nicht fehlen darf: Mit dem „Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen“ und dem „Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags“, welche am 1. Januar 2022 in Kraft treten, sowie dem am 28. Mai 2022 folgenden „Gesetz zur Änderung des Bürgerlichen Gesetzbuchs (…) in Umsetzung der EU-Richtlinie zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union (…)“ wird erneut das Schuldrecht überarbeitet. Definitiv eine Reform, die nicht nur Verbraucher, sondern auch Unternehmen im Blick haben sollten, insbesondere dann, wenn sie im B2C-Geschäft mit digitalen Produkten unterwegs sind.

Die „Ampel“ als große Unbekannte?

Deutschland hat bekanntermaßen seit kurzem eine neue Regierung, die sogenannte „Ampel“ aus SPD, BÜNDNIS 90 / DIE GRÜNEN und FDP. Als selbsterklärte „Fortschrittsregierung“ hat sie – so viel lässt sich bereits aus dem Koalitionsvertrag erkennen – auch im Bereich Datenschutz einiges vor: Die Schaffung eines Forschungsdatengesetzes, eines Mobilitätsdatengesetzes, eines Gesundheitsdatennutzungsgesetzes oder neuer Regelungen zum Beschäftigtendatenschutz – die To-Do-Liste ist lang. Daneben soll im Eiltempo die Digitalisierung Deutschlands vorangetrieben werden, unter anderem im Bereich der Justiz. Dass es bereits 2022 weitreichende Änderungen geben wird, ist unwahrscheinlich. Es lohnt sich jedoch in jedem Fall, diesbezüglich ein Auge auf künftige Entwicklungen zu haben.

Entwicklungen auf europäischer Ebene

Gleiches gilt für das Geschehen in Europa, wo in näherer Zukunft einige größere Projekte anstehen: Da wäre der „Digital Markets Act“, welcher große Online-Plattformen regulieren und damit ein faireres Geschäftsumfeld im europäischen Binnenmarkt schaffen will. Außerdem soll mit dem „Digital Services Act” die Sicherheit der Plattformen erhöht und die Entfernung strafbarer Inhalte erleichtert werden. Perspektivisch könnte überdies der „Artificial Intelligence Act“, der weltweit erste Versuch eines Gesetzes zur Regulierung von Künstlicher Intelligenz, Handlungsbedarf bei Unternehmen auslösen.

Der Elefant im Raum: Corona

Ein weiterer Beitrag, der nicht gänzlich auf die Erwähnung des allesbestimmenden Themas Corona verzichten kann: Auch das Jahr 2022 wird, so steht es zu erwarten, noch von den Auswirkungen der Pandemie geprägt sein. An Prognosen, wie genau sich die Lage diesbezüglich entwickeln wird, sind bekanntermaßen schon so einige gescheitert. Nichtsdestoweniger lässt sich sagen, dass das sogenannte „2G“ am Arbeitsplatz oder eine Impfpflicht mögliche Themen sein könnten, welche Unternehmen in Sachen Beschäftigtendatenschutz vor Herausforderungen stellen könnten.